O governo publicou hoje (03) o Decreto Nº 10.641/21, que substitui o texto do Decreto nº 9.637 de 26 de dezembro de 2018, que instituiu a “Política Nacional de Segurança da Informação”, e estabeleceu um modelo de governança da segurança da informação na Administração Federal.
As mudanças no texto conferem agora poderes absolutos ao Gabinete de Segurança Institucional da Presidência da República (GSI), na questão da competência de propor, normatizar e controlar a Política de Segurança da Informação do governo federal. E de definir os processos de compras de bens e serviços de Tecnologia da Informação levando em conta a Segurança Nacional.
Do ponto de vista cosmético, o texto consertou, por exemplo a composição do Comitê Gestor da Segurança da Informação prevista no artigo 9º. Mas apenas para dar ao Ministério das Comunicações a presença física no organismo, já que na edição do decreto em 2018 a pasta estava anexada ao Ministério da Ciência, Tecnologia e Inovações.
Mas outras alterações no antigo decreto são significativas. Por exemplo, o novo texto revogou o parágrafo segundo do artigo 15 do decreto de 2018, e agora impede que os futuros membros do “Comitê de Segurança da Informação” possam ser pessoas não ligadas diretamente ao governo, que estejam ocupando apenas “cargos de confiança”.
E o GSI foi bem claro com relação ao impedimento da presença de gente estranha aos quadros do governo nessa área, ao criar o parágrafo 4º. Que determina:
“O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto.”
No Artigo 17 também ocorreu uma mudança no texto e na conceituação das atribuições que os órgãos da Administração Federal terão em relação à governança da segurança da informação. Até agora as equipes eram responsáveis pela “resposta e o tratamento de incidentes”.
Agora o inciso III do Artigo 17 acrescenta o termo “prevenção”, como sendo mais uma atribuição de todo o aparato de Segurança da Informação do governo. Ou seja, não basta mais só agir depois que a casa foi arrombada, o governo quer se precaver antes que um ataque ocorra.
O próprio GSI passa a adotar o termo “prevenção” como função no seu Centro, que já atuava no tratamento e resposta de Incidentes Cibernéticos, coordenado pelo seu Departamento de Segurança da Informação.
E se a meta agora é a “prevenção”, o GSI da Presidência da República decidiu se prevenir da possibilidade do Ministério do Planejamento voltar ao Organograma do Governo. A pasta sempre teve como encargo legal definir normas para a compra de ativos de Tecnologia da Informação pelos órgãos do governo, em “parceria” com o GSI.
Como a classe política defende o desmembramento do Ministério da Economia, trazendo de volta ao governo essa pasta, o GSI resolveu suprimir no Artigo 18 do antigo Decreto 9.637/18, no compartilhamento dessa atribuição com o Ministério do Planejamento. Ma formulação da política de compras de bens e serviços que envolvam a Segurança Nacional.
O GSI passa agora a determinar, sozinho, como comprar, quanto comprar, de quem comprar e onde comprar, quando o ativo envolver a Segurança Nacional.